Italia 2025: ransomware in crescita. Nel 2026 più notifiche, più casi

Nel 2025 il ransomware in Italia non ha “alzato la testa”. Ce l’aveva già alzata da anni. Noi, semmai, abbiamo continuato a far finta di niente. E i numeri – quelli che finiscono in vetrina, sui leak site, nelle rivendicazioni – raccontano esattamente questa storia: 170 vittime nel 2025 contro 146 nel 2024. Un +16% circa. Non è un’esplosione hollywoodiana. È peggio: è la crescita lenta e stabile di un mercato che funziona. Per loro.

E prima che qualcuno faccia il solito giochino del “eh ma sono solo i casi pubblicati”: certo. Questa non è la totalità degli incidenti, è la punta dell’iceberg. È la parte in cui l’attacco diventa estorsione, comunicazione, pressione, marketing criminale. Quando ci finisci dentro, non sei “solo stato bucato”: sei diventato materiale promozionale.

2025: un anno a ondate, con due schiaffi ben assestati

Il 2025 non è stato lineare. È stato un anno fatto di ondate: mesi più tranquilli (tranquilli… nel senso che si vede meno, non che succede meno) e poi due picchi che sembrano messi lì apposta per ricordarti chi comanda quando la prevenzione è lasciata a metà: luglio e dicembre.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

E dicembre, in particolare, è la cartolina più utile: dentro ci trovi di tutto: aziende, siti, realtà locali e soprattutto trovi una cosa che molti continuano a ignorare: il ransomware non è “un gruppo”. È un’economia. Un mercato. Brand che nascono, muoiono, si riciclano, si rinominano. Affiliazioni che migrano. “Nuovi” gruppi che spesso sono vecchie facce con una maschera diversa.

La conseguenza pratica è semplice: non esiste la comfort zone del “non ci riguarda”. Il ransomware colpisce dove trova:

• identità gestite male,
• privilegi larghi come autostrade,
• patching a calendario invece che a rischio,
• backup che “ci sono” ma non si ripristinano mai sul serio,
• e quell’eterna convinzione italiana che “tanto noi siamo piccoli”.

Spoiler: non siete piccoli. Siete solo più facili.

Il punto vero: il 2025 conferma che l’Italia è ancora conveniente

Se nel 2025 le vittime pubbliche aumentano, significa una cosa: il rapporto costo/beneficio è ancora favorevole ai criminali. E finché è così, non serve nemmeno l’exploit del secolo. Basta insistere, industrializzare, comprare accessi iniziali, lavorare di lateral movement e poi premere con doppia estorsione.

E quando vediamo mesi con numeri più bassi, non scambiamoli per “miglioramento”. Spesso è solo una pausa nella vetrina: riorganizzazione, rebranding, change di tooling, pipeline che si riallinea. Nel frattempo, nelle reti di molte aziende, il fumo c’è lo stesso. Solo che non lo vedete… finché non vi chiamano i giornalisti (o l’avvocato).

2026: il paradosso NIS2 (più protetti, ma più incidenti “ufficiali”)

Adesso arriva la parte bella. Nel 2026 entrerà davvero in gioco la NIS2 e molti mi diranno: “bene, quindi meno ransomware”.
Io rispondo: dipende da cosa stai misurando.

1) Sì: i soggetti NIS2, mediamente, saranno più protetti (se la smettono di fare teatro)

Se un soggetto NIS2 fa le cose seriamente, alcune basi migliorano davvero: governance, ruoli, gestione del rischio, controlli minimi, piani, test. E soprattutto – se si lavora bene – migliorano i pilastri che al ransomware danno fastidio: identità, segmentazione, recovery, detection, risposta.

Quindi sì: alcune aziende in perimetro diventeranno bersagli meno comodi. Non invulnerabili. Solo meno comodi. E già questo è un cambiamento enorme, per un Paese che spesso si muove solo quando è obbligato.

2) Però arriva l’obbligo di notifica: e vedremo più incidenti (perché finalmente li conteremo)

Qui sta il punto che tanti faranno finta di non capire: nel 2026, con l’obbligo di notifica, succederà una cosa inevitabile.
Il sottobosco emergerà.

Quelli che prima “gestivano internamente”, quelli che “non diciamo niente”, quelli che “tanto è solo un PC”, quelli che “paghiamo e chiudiamo”, quelli che “meglio non fare rumore”… nel 2026 avranno meno spazio per la retorica e più obblighi da rispettare.

Quindi prepariamoci: aumenteranno gli incidenti notificati, e qualcuno urlerà all’apocalisse. In realtà sarà soprattutto un mix di due cose:

• più trasparenza forzata,
• e una realtà che era già lì, solo che nessuno la voleva guardare.

3) Effetto spostamento: se alzi il muro davanti, ti entrano dal giardino (supply chain)

Terzo elemento: i criminali non spariscono perché tu diventi più maturo. Si spostano. Ottimizzano.
Se alcuni soggetti NIS2 alzano il livello, una parte della pressione si riverserà ancora di più sulla filiera e su chi sta fuori dal perimetro ma resta connesso a tutto: fornitori, terze parti, servizi gestiti, outsourcer, consulenti “onnipotenti” con credenziali ovunque.

In pratica: magari vedremo meno “buchi facili” sui più maturi, ma vedremo più attacchi laterali, più compromissioni indirette, più incidenti che partono da un anello debole e finiscono su tre aziende a cascata.

La mia previsione secca per il 2026

Nel 2026 vedremo più incidenti nei numeri ufficiali. Non perché la NIS2 fallisce, ma perché:

1. la NIS2 alza l’asticella su una parte del mercato,
2. l’obbligo di notifica fa emergere quello che prima veniva nascosto,
3. i criminali spingono sulla filiera e su chi resta fragile.

E qui chiudo con una frase che mi ripeto da anni: non si batte il ransomware con i documenti.
Lo batti con identità governate, segmentazione, backup ripristinabili davvero, logging che serve a qualcosa e un incident response che non inizia quando sei già sui leak site.

Il 2025 ci ha detto che il problema è vivo.
Il 2026 ci dirà, brutalmente, quanti hanno smesso di raccontarsela.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore